Photo: depositphotos.com

Que faire quand vos mots de passe ont été compromis?

Une nouvelle fonctionnalité de l’iPhone lancée le mois dernier permet de savoir si vos mots de passe en ligne ont été compromis lors de fuites de données. Pour certains, ce sont des dizaines d’identifiants qui semblent avoir été affectés d’un coup, mais dans les faits, vos comptes sont peut-être à risque depuis des années. Voici les étapes à suivre pour savoir si vous avez été compromis, et comment y remédier.


1- Vérifiez si vous avez été compromis

«Ce mot de passe a été identifié dans le cadre d’une fuite de données. Par conséquent, ce compte risque fortement d’être compromis. Vous devriez changer immédiatement de mot de passe.» Voilà le message que vous avez peut-être reçu récemment sur votre iPad ou votre iPhone si vous êtes doté d’un appareil à jour et que vous y enregistrez vos mots de passe.

Depuis le lancement du système d’exploitation iOS 14 en septembre, Apple compare en effet les mots de passe de votre Trousseau iCloud à ceux que l’on retrouve dans les listes de mots de passe compromis connus. Dans les Réglages de votre téléphone ou de votre tablette, dirigez-vous vers le menu Mots de passe, et cliquez sur Avis relatif à la sécurité. Tous les sites utilisant un mot de passe qui est déjà apparu dans une fuite s’y retrouvent.

Si vous n’utilisez pas Trousseau iCloud, ou si vous possédez un appareil Android, vous pouvez aussi vérifier si vos comptes ont été compromis. Dirigez-vous sur le site haveibeenpwned.com (en anglais) et entrez l’adresse courriel que vous utilisez habituellement avec vos comptes pour savoir si elle a été compromise.

Vous pourrez alors voir le nom des sites qui ont déjà été piratés et auxquels vous êtes abonnés, ainsi que les informations qui ont été obtenues. En plus des identifiants, certains sites pourraient avoir diffusé votre date de naissance, votre emplacement géographique, votre adresse et votre numéro de carte de crédit, par exemple.

2- Dressez la liste des comptes à risque

Tous vos comptes qui reprennent un mot de passe dévoilé lors d’une fuite doivent être considérés comme à risque.

Ainsi, si vous utilisez le mot de passe 1234556 avec votre compte Dropbox et que le site a été piraté, tous les autres comptes (comme Amazon ou Netflix, par exemple) où 123456 est votre mot de passe sont aussi à risque.

L’iPhone dresse cette liste automatiquement, mais si vous utilisez un site comme haveibeenpwned.com, vous devrez vous-même établir la liste des services compromis auxquels vous êtes abonnés.

3- Examinez les comptes compromis

Examinez chacun des comptes identifiés précédemment pour déterminer si des transactions suspectes ont été effectuées à votre insu. Assurez-vous par exemple qu’aucun achat n’a été effectué dans vos comptes de magasinage, et qu’aucun document suspect (et potentiellement illégal) n’est enregistré dans votre service de stockage en ligne.

Certains sites, comme Google, permettent aussi de vérifier à partir de quel endroit on a accédé à votre compte, ce qui pourrait vous indiquer s’il a été compromis. Assurez-vous de réparer les pots cassés si nécessaire (en annulant des transactions frauduleuses, par exemple).

Photo: Kevin Ku, Unsplash

4- Changez vos mots de passe

Vous devrez changer manuellement les mots de passe de tous les sites qui ont été compromis et que vous avez identifié plus haut.

Assurez-vous de choisir de nouveaux mots de passe plus complexes, et surtout différents les uns des autres.

5- Adoptez les meilleures pratiques

Une grande partie du travail nécessaire pour retrouver votre sécurité en ligne aurait pu être évitée si vous aviez adopté deux pratiques simples.

Vous devriez tout d’abord utiliser un gestionnaire de mots de passe, qui sauvegarde tous vos identifiants au même endroit. Vous pourriez alors plus facilement vous y retrouver parmi tous ces mots de passe complexes et différents.

Lorsque c’est possible, vous devriez aussi activer l’authentification à deux facteurs sur vos comptes. Ce mécanisme de protection nécessite l’ajout d’une deuxième information en plus d’un mot de passe lorsque vous vous enregistrez, généralement un numéro temporaire envoyé par message texte ou un numéro qui s’affiche dans une application.

Cette mesure de sécurité assure la protection de votre compte même lorsque votre mot de passe est compromis. Car même si vous avez changé tous vos identifiants, ce n’est qu’une question de temps avant que certains d’entre eux fassent à nouveau l’objet d’une fuite de données.